Restricción de los privilegios administrativos

Control de Essential Eight	Guía para la implementación	AWS recursos	AWS Guía para Well-Architected
Las solicitudes de acceso privilegiado a los sistemas y a las aplicaciones se validan cuando se solicitan por primera vez.	Tema 4: administración de identidades: implementación de la federación de identidades	Exija a los usuarios humanos que se federen con un proveedor de identidad para acceder a AWS mediante credenciales temporales	SEC02- BP04 Confíe en un proveedor de identidad centralizado SEC03- BP01 Defina los requisitos de acceso
El acceso privilegiado a los sistemas y aplicaciones se inhabilita de manera automática después de 12 meses, a menos que se vuelva a validar.	Tema 4: administración de identidades: implementación de la federación de identidades	Exija a los usuarios humanos que se federen con un proveedor de identidad para acceder a AWS mediante credenciales temporales	SEC02- BP04 Confíe en un proveedor de identidad centralizado
	Tema 4: administración de identidades: rotación de las credenciales	Exija que las cargas de trabajo utilicen las funciones de IAM para acceder AWS Automatice la eliminación de los roles de IAM no utilizados Cambie las claves de acceso con regularidad para los casos de uso que requieran credenciales a largo plazo AWS Summit ANZ 2023: su viaje hacia las credenciales temporales en la nube (YouTubevídeo)	SEC02- BP05 Audite y modifique las credenciales periódicamente
El acceso privilegiado a los sistemas y aplicaciones se inhabilita de manera automática después de 45 días de inactividad.	Tema 4: administración de identidades: implementación de la federación de identidades Tema 4: administración de identidades: rotación de las credenciales	Exija a los usuarios humanos que se federen con un proveedor de identidad para acceder AWS mediante credenciales temporales Exija que las cargas de trabajo utilicen las funciones de IAM para acceder AWS Automatice la eliminación de los roles de IAM no utilizados Cambie las claves de acceso con regularidad para los casos de uso que requieran credenciales a largo plazo AWS Summit ANZ 2023: su viaje hacia las credenciales temporales en la nube (YouTubevídeo)	SEC02- BP04 Confíe en un proveedor de identidad centralizado SEC02- BP05 Audite y modifique las credenciales periódicamente
El acceso privilegiado a los sistemas y las aplicaciones se limita solo a lo necesario para que los usuarios y los servicios desempeñen sus funciones.	Tema 4: administración de identidades: aplicación de permisos de privilegio mínimo	Proteja sus credenciales de usuario raíz y no las utilice para las tareas diarias Utilice IAM Access Analyzer para generar políticas de privilegios mínimos en función de la actividad de acceso Verifique el acceso público y multicuenta a los recursos con IAM Access Analyzer Utilice IAM Access Analyzer para validar las políticas de IAM con objeto de garantizar la seguridad y funcionalidad de los permisos Establezca barreras de protección de permisos en varias cuentas Utilice los límites de permisos para establecer los permisos máximos que puede conceder una política basada en identidades Utilice las condiciones de las políticas de IAM para restringir aún más el acceso Revise y elimine periódicamente los usuarios, funciones, permisos, políticas y credenciales no utilizados Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos Utilice la característica de conjuntos de permisos de IAM Identity Center	SEC01- BP02 Proteja el usuario raíz y las propiedades de la cuenta SEC03- BP02 Otorgue el acceso con privilegios mínimos
Las cuentas privilegiadas no pueden acceder a internet, al correo electrónico y a los servicios web.	Consulte Technical example: Restrict administrative privileges (sitio web de ACSC)	Considere la posibilidad de implementar una SCP que evite que las VPC que aún no tengan acceso a internet lo obtengan.	No aplicable
Los usuarios con privilegios utilizan entornos operativos independientes con y sin privilegios.	Tema 5: establecimiento de un perímetro de datos	Establezca un perímetro de datos. Considere la posibilidad de implementar perímetros de datos entre entornos de distintas clasificaciones de datos, como `OFFICIAL:SENSITIVE` o `PROTECTED` con distintos niveles de riesgo, como desarrollo, pruebas o producción.	SEC06- BP03 Reduzca la gestión manual y el acceso interactivo
Los entornos operativos con privilegios no se virtualizan en entornos operativos sin privilegios.
Las cuentas sin privilegios no pueden iniciar sesión en entornos operativos con privilegios.
Las cuentas con privilegios ( a excepción de las cuentas de administrador local) no pueden iniciar sesión en entornos operativos sin privilegios.
Just-in-time la administración se utiliza para administrar sistemas y aplicaciones.	Tema 4: administración de identidades: implementación de la federación de identidades	Exija a los usuarios humanos que se federen con un proveedor de identidad para acceder AWS mediante credenciales temporales Implemente un acceso elevado temporal a sus AWS entornos (AWS entrada del blog)	SEC02- BP04 Confíe en un proveedor de identidad centralizado
Las actividades administrativas se llevan a cabo a través de servidores jump.	Tema 1: uso de servicios administrados Tema 3: administración de la infraestructura mutable con automatización: uso de la automatización en lugar de los procesos manuales	Utilice Administrador de sesiones o Run Command en lugar del acceso directo por SSH o RDP	SEC01- BP05 Reduzca el alcance de la gestión de la seguridad SEC06- BP03 Reduzca la gestión manual y el acceso interactivo
Las credenciales de las cuentas de administrador local y las cuentas de servicio son únicas, impredecibles y administrables.	Consulte Technical example: Restrict administrative privileges (sitio web de ACSC)	No aplicable	No aplicable
Windows Defender Credential Guard y Windows Defender Remote Credential Guard se habilitaron.		No aplicable	No aplicable
El uso del acceso privilegiado se registra de manera centralizada y se protege contra modificaciones y eliminaciones no autorizadas, se supervisa para detectar señales de peligro y se utiliza cuando se detectan incidentes de ciberseguridad.	Tema 7: centralización del registro y de la supervisión: habilitación de registros Tema 7: centralización del registro y de la supervisión: centralización de los registros	Utilice el CloudWatch agente para publicar registros a nivel de sistema operativo en Logs CloudWatch Habilite CloudTrail para su organización Centralice CloudWatch los registros en una cuenta para su auditoría y análisis (AWS entrada de blog) Centralice la administración de Amazon Inspector Centralice la gestión de Security Hub (CSPM) Cree un agregador para toda la organización en AWS Config (entrada de blog de AWS ) Centralice la gestión de GuardDuty Considere utilizar Amazon Security Lake Reciba CloudTrail registros de varias cuentas Envíe los registros a una cuenta de archivo de registros	SEC04- BP01 Configure el registro de servicios y aplicaciones SEC04- BP02 Capture registros, hallazgos y métricas en ubicaciones estandarizadas
Los cambios en cuentas y grupos con privilegios se registran de manera centralizada y se protegen contra modificaciones y eliminaciones no autorizadas, se supervisan para detectar señales de peligro y se utilizan cuando se detectan incidentes de ciberseguridad.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Endurecimiento de las aplicaciones de usuario

Aplicación de revisiones a sistemas operativos